时间:2022-11-12 09:16:19
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇无线网络论文,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
1.1网格化的意义
在进行无线网络分析时,若以地市、区县等行政区为分析对象,仅能得到无线网络的整体情况,无法细致分析网络局部存在的问题;而以单个基站为分析对象,则仅能反应站点本身运行情况,无法说明区域性无线网络存在的问题,更无法为市场营销提供参考。为此,引入网格的概念,定义一个适中的分析区域,考察区域间、区域内的无线网络存在的问题,兼顾整体和局部的无线网络情况。在网格内进行更精确的规划、建设、优化工作,通过分析网格内的用户行为使网络建设更贴近市场需求,从网络角度为市场营销提供依据,使工程建设、规划、网优和市场部门的工作能够更好地衔接,进一步保障网络建设的质量,提高资源投放准确率。
1.2网格划分依据
无线网络是无边界、常变化的,在进行网格界定时,主要考虑无线网络相对不变的属性,如无线环境、业务量、终端等,因此,将网格定义为具有相同无线环境与相同业务特点的相邻基站聚集而成的覆盖区域。网格划分后,物理网格的区域相对固定,而网格分析区域是对物理网格产生影响的基站小区所覆盖的区域,与网格关联的小区及其覆盖区域是可以动态变化的。网格划分依据及原则如下。(1)地理环境的整体性:尽可能地将同一类型的覆盖场景划分到一个网格内,例如住宅区、城中村、工业区、郊区等。(2)人口密集度和建筑群的整体性:在街道办划分的基础上,尽量按照独立社区或村庄等划分。(3)场景统一:同一网格只可归属于主城区、一般城区或城区外之一,不可跨规划区域,也不可跨区县(或镇)。(4)无线传播模型一致性:将相似无线传播环境的覆盖区域划分在同一网格内,可以更精确地给网格赋予传播模型,从而提高仿真效果。(5)区域业务特点一致:区域业务特点反应区域内用户的行为习惯,将相同业务特点的区域划分在同一网格内,有利于针对用户习惯进行网络资源配置和市场营销推广。(6)信号覆盖的连续性:同一网格只归属于同一BSC/RNC,考虑网络覆盖的连续性要求,确保网络切换成功率。(7)投诉区域的集中度:将投诉集中度高的区域划分到一个网格内,可以集中资源,有针对性地解决问题。(8)与市场联动的便利性:参照市场部门的营销区域进行网格划分,便于市场部门实施网络分析部门提供的市场营销建议。在无线网络网格划分完成后,需将基站小区与网格进行关联,此步骤的关键点在于网格间边界小区的归属,小区关联原则如下:(1)小区根据覆盖范围、建设目的进行网格归属;(2)一个小区仅归属一个网格,使小区与网格一一对应;(3)根据网格划分依据,保证小区归属后产生的网格分析区域与网格划分的目的一致;(4)同一方向不同制式的小区,如GSM、DCS、TD-SCDMA等制式的小区,归属相同网格,使物理网格内不同制式的无线网络网格分析区域大致相同。网格划分可以理解成把一个复杂的实体模型分成若干简单的模型,而这些简单的个体之间又相互联系,相互约束,构成整个结构。求解这些简单的个体,就能得到整体的变化趋势,网格划分越合理,分析结果便越清晰。
2分析体系
2.1总体思路分析
体系将面向无线网格的业务、覆盖、终端,从网络运行现状的角度出发,进行多网协同规划。首先,分析体系是面向网格的,也就是以网格为基本单位进行无线网络分析;其次,分析的对象是网格相对不变的属性,通过现网运行得到业务、覆盖和终端等数据;最后,无线网络分析是多网协同进行的,依据不同网络的运行现状进行相互分析。无线网络网格化分析体系分为4个层次,包括目的层、指标层(分析流程)、措施层以及方案层,体现了从问题提出、分析过程到解决方案的全过程,从不同层次和角度表征和描述分析体系。其基本原则是:为目的引入指标,以指标考察网格,反应了分析体系是以解决问题为目标而建立的,分析体系围绕目的层进行指标层、措施层和方案层的构建。无线网络网格分析流程如下:明确无线网格分析需解决的问题,根据不同的目的,制定不同的指标进行量化,建立分析流程,通过流程判断需采取的措施,得出一系列网格建议,根据建议在网格内进行更精细的小区级分析和无线网络规划,以此设置网格建设方案,再按照评价方法对建设方案的各个需求进行等级排序。由此得出的网格规划结果包括网络类分析结果、市场类分析结果、网络建设方案三部分。其中,根据网络类分析结果进行网格内无线网络建设方案的设置,市场类分析结果则可作为市场部门业务推广、终端推广等市场营销的参考。网络建设方案的等级划分将按照网格措施、建设原因等进行加权评分,而各因素的权重则按照一定的策略进行设置,再根据工建、网优、网维、市场等部门对各建设需求重要性的评价,最终得出具有等级排序的建设需求池。可以看出,运用无线网络网格化分析体系进行规划工作的特点如下。(1)便于进行网格间的对比分析,确定优先建设的区域,实现资源重点投放。(2)进行网络间协同分析,根据区域业务特点,确定优先建设的网络,避免重复投资。(3)建设方案制定时,深入网格进行小区级分析,实现更为精细的无线网络规划。下面以“网络间业务平衡”为例,说明由目的制定指标、由指标决定措施的流程,即无线网络网格化体系的分析过程。
2.2网络间业务平衡
通过考察各网络的业务承载、终端驻留等数据,分析无线网络存在的问题,指导网络建设和终端推广。正常来说,在TD-SCDMA无线网络覆盖完善的区域,TD-SCDMA终端的数据业务大部分应该由TD-SCDMA网络承载,此时,只要TD-SCDMA终端占比高,就能对GSM网络数据业务起到分流作用。为此,引入驻流比、分流比等指标,考察网格的无线网络覆盖、终端推广等情况。
2.2.1驻流比分析流程驻流比反映的是TD-SCDMA无线网络的覆盖水平,与基站建设密切相关。低驻流比下发展3G业务,不仅会拖累2G网络,而且会影响用户体验,因此,驻流比也可以在一定程度上反映多网协同的流量协同问题。在TD-SCDMA网络覆盖完善的情况下,TD-SCDMA终端的大部分数据业务应由TD-SCDMA网络承载,否则判断为网络覆盖存在问题,其计算见公式(1)。驻流比=TD终端的TD网络数据流量/(TD终端的TD网络数据流量+TD终端的GSM网络数据流量)(1)驻流比表示TD终端数据流量中,由TD网络承载的比例。它是解决TD网络覆盖问题的核心关键指标。通过按照各区域不同的覆盖要求,设置不同的驻流比要求,以便优先在重点区域建设覆盖完善的TD-SCDMA网络。驻流比的分析流程如图1所示。驻流比目标值反映网格内TD-SCDMA网络覆盖至少要达到的水平,与网格内目前已建设的TD基站相关。通过与驻流比的目标值比较,判断网格内TD-SCDMA无线网络是否存在覆盖问题。在设置目标值时需考虑各网格TD-SCDMA网络覆盖要求的差异性,如按市区、县城、乡镇、农村等场景要求达到的规划覆盖目标、地市TD-SCDMA网络覆盖区内各网格的实际驻流比情况等。首先,通过根据不同区域的覆盖要求设置不同的阈值,优先保障重要区域;其次,按与目标的差值,优先解决覆盖问题最严重的网格,使全地市各网格的覆盖都能达到预定的水平。具体设置建议见表1。
2.2.2分流比分析流程分流比能够说明TG两网的数据业务平衡问题,即TD-SCDMA网络对GSM网络的数据流量负荷分担的情况,与TD终端密切相关,包括TD终端的数量和每TD终端的数据流量。从网络平衡发展的角度出发,应同时提高TD-SCDMA网络覆盖区内每TD终端流量正常的网格的分流比。分流比计算见公式(2)。分流比=TD网络承载的数据流量/(TD网络承载的数据流量+GSM网络承载的数据流量)(2)影响分流比的主要因素如下。(1)TD网络覆盖差,导致TD终端无法驻留TD网络。(2)TD终端数量少,导致TD网络承载的数据流量小。(3)每TD终端数据流量小,导致TD网络承载的数据流量小。通过考察各网格分流比的情况,为市场部门的3G业务、终端等推广活动提供建议,从而提高各网格的分流比,实现网络平衡发展。分流比分析流程如图2所示。分流比合理值在正常网络覆盖水平下,一定数量的TD终端应使TD网络的分流比达到一定的水平,将其定义为分流比合理值。通过考察各网格的分流比合理值,判断网格内的TD网络覆盖水平和每TD终端数据流量是否合理,并优先提高TD网络覆盖、每TD终端流量均正常的网格分流比。其计算见公式(3)。分流比合理值=(TD终端数量×L×驻流比合理值)/GSM终端数量+TD终端数量×L(3)L:表示GSM终端更换为TD终端后,每终端流量应提高的比例,其计算见公式(4)。L=每TD终端数据流量/每GSM终端数据流量(4)参考现网运行数据,参数L的设置建议见表2。驻流比合理值:驻流比合理值表示在已建设一定数量的TD-SCDMA基站后驻流比应达到的水平。其计算见公式(5)。驻流比合理值=TD基站数量/(GSM基站数量×覆盖面积比值)×覆盖相当时驻流比(5)覆盖面积比值为达到与GSM相同覆盖水平需建设TD基站数量的比例,建议取值1.1;覆盖相当时驻流比建议取值75%。从上述公式可以看出,分流比合理值与网络现状的联系更紧密,包括现有网络建设情况、现有终端数量情况、终端使用业务情况等。各网格的分流比合理值由TD基站建设比例、TD终端占比和参数L决定。分流比目标值结合市场部门在规划期内的TD终端推广计划,计算规划期末的TD终端占比情况,并以此确定网格的分流比目标值。通过考察与分流比目标值的差额,判断网格TD终端推广的需求迫切程度,即优先在分流比差额较大的网格进行TD终端推广。通过在不同区域设置不同的TD终端推广额度,实现优先在重点区域进行数据业务分流。其计算见公式(6)。分流比目标值=(区域期末TD终端数量×L×驻流比目标值)/(区域期末GSM终端数量+区域期末TD终端数量×L)(6)从公式(6)可以看出,分流比目标值与市场部门TD终端推广计划的联系更紧密。不同的TD终端推广力度,将决定不同的分流比目标值。
3建设方案
3.1方案设置在完成网格分析体系中指标层和措施层的分析后,将分别得到网络类和市场类的分析结果。根据网络类分析结果设置建设方案,市场类分析结果则用于为市场部门营销活动提供参考。以上述“网络间业务平衡分析”为例,得到的分析结果见表3。按照网络类分析结果,在建设方案层进行更为细致的无线网络规划,体现网格内小区级的分析,得出无线网络的具体建设需求。一般将无线网络建设划分为三个阶段:规划、建设及优化。规划阶段重点在需求分析、方案设置及等级划分;建设阶段重点在站点解决方案的制定和主设备、配套设备建设模式的选择;优化阶段重点在通过技术手段保证网络现有资源的正常运行,并使网络效益最大化。在进行需求分析时,针对各种网络问题,首先考虑通过天线调整(方向角、下倾角、高度等)、参数调整、功率调整等优化手段进行改善。在优化手段无明显效果时,再考虑采用其他解决方案。在进行方案设置时,针对网格存在的无线网络方面的问题,进一步根据ATU测试数据、MR统计数据、市场发展及竞争对手的情况等信息进行补充分析,在更小范围内精确规划,确定具体建设方案,例如新建宏基站、扩容、建设底层站等建设的具置、实现方式等,并最终形成整体规划方案。精细规划需参考的数据和信息如下。(1)宏站需结合ATU测试数据、MR统计数据、数据流量统计数据等因素分析。(2)室内分布站需结合数据业务流量、新增覆盖区域等因素分析。(3)根据仿真结果对规划站点进行补充调整,并形成最终建设清单。
3.2需求等级评价在完成规划方案后,根据工程投资、建设难度、量化指标等情况,对方案中各个建设需求进行评价,从而能够在工程投资允许的范围内,优先解决需求最为急迫的无线网络问题。评价方法根据规划方案中不同的建设类型,按照扩(减)容、2G新建站、TD新建站、新建底层站和市场联动等分别进行设置。针对评价对象的各自特点,分别评价容量、覆盖、质量和业务分流等因素的需求程度。需求等级评价示意如图3所示。在计算指标量化得分时,采用十分制的评分方式,有以下三种计算方法。(1)设定平均值或门限值为5分,与其进行对比,计算评价对象的指标得分。(2)设定满分时的指标值,与其进行对比,计算评价对象的指标得分。(3)设定零分时的指标值,与其进行对比,计算评价对象的指标得分。各指标得分的计算标准见表4。需求等级评价除了考虑指标得分外,还需考虑以下几方面问题。(1)等级调整:根据站点的重要性设置等级下限,确保站点建设优先级。如省级重点考核的黑点、ATU测试区域内的站点、随物业建设同步跟进的时间受限的站点以及其他重要站点等。(2)工程建设:根据站点的工期满足情况、投资需求情况等,进行需求等级调整。如物业协调难度、物业协调进度、工程建设方案等。综上所述,最终形成的具有优先等级排序的建设需求池是在综合考虑了指标得分、等级调整、工程建设等方面的情况后确定的。
4结束语
在移动互联网、智能手机、上网本和平板电脑的快速发展和推动下,越来越多的移动通信用户逐渐发展成为移动互联网用户,从而推动了移动数据流量的爆发性增长。TD-LTE是一种融合了互联网与移动通信特点而发展起来的创新技术,是目前在中国通信行业广泛兴起的新型时分技术。目前,随着TD-LTE在全国范围内的商用,必将进一步推进TD-LTE产业链特别是各类TDD制式的终端产品快速走向成熟,TD-LTE也将成为未来通信领域的总体发展趋势。为了应对今后更大规模TD-LTE网络建设中可能碰到的问题,本文对TD-LTE的网络规划和优化方法进行探讨和分析。
2TD-LTE网络概念
TD-LTE即TimeDivision-LongTermEvolution(分时长期演进),是由阿尔卡特朗讯、诺基亚西门子通信、大唐电信、华为技术、中兴通讯、中国移动等业者所共同开发的第四代(4G)移动通信技术与标准[1]。TD-LTE技术的设计目标如下:具备灵活的带宽配置,支持1.4MHz、3MHz、5MHz、10MHz、15MHz和20MHz;峰值速率(20MHz带宽)达到下行100Mbit/s,上行50Mbit/s;控制面时延小于100ms,用户面时延小于5ms;能为速度大于350km/h的用户提供100kbit/s的接入服务;支持增强型MBMS(E-MBMS);取消CS域,CS域业务在PS域实现,如VoIP;系统结构简单化,低成本建网。
3TD-LTE关键技术
3.1物理层技术
TD-LTE网络物理层技术中包括基本传输技术和多址技术、编码调制技术、MIMO技术以及帧结构等。LTE中传输技术采用OFDM调制技术,可以减轻由无线信道的多径时延扩展所产生的时间弥散性对系统造成的影响。在信道编码方面,LTE采用Turbo码,采用可以适应宏小区、微小区、热点等各种环境的MIMO技术。同时规定了2种子帧长度,即基本的子帧长度为0.5ms,当考虑与TD-SCDMA系统兼容时,采用0.675ms子帧长度。
3.2网络层技术
LTE和传统的3GPP接入网相比,减少了RNC节点,采用由NodeB构成的单层结构,有利于简化网络和减小时延,实现了低复杂度、低时延和低成本的要求,逐步趋近于典型的IP宽带网结构。
4TD-LTE网络规划
TD-LTE建网初期,主要布局在高数据流量区域,降低2G网络负荷,满足用户对高速率数据的需求。初始的网络布局,需同时考虑覆盖和容量,结合现网2G/3G数据流量站点分布,在充分利用现有2G/3G网络站点资源和配套资源的基础上,部分区域适当采用新建站点的形式,对于TD-LTE的无线规划将采取分片连续覆盖,以信号覆盖区域内的各项无线网络指标达到商用要求为目标。
4.1需求分析
在进行TD-LTE规划前,首先需要做的是需求分析,包括明确总体的建网策略、建网指标,并且需要同时满足当前用户的具体需求以及未来一定时期内的发展需要。需要收集的数据有现网GSM/TD-SCDMA基站信息、业务需求信息、三维电子地图等,只有在这些数据高准确性的提前下,才能确保后续TD-LTE无线网络规划的正确发展。
4.2网络规模估算
网络规模估算的目的是确定出相对比较具体的TD-LTE网络建设基本规模,这一步主要是通过覆盖估算和容量估算这2个维度来确定的。具体做法是根据当地的无线网络传播模型和现有的基站分布情况,确定不同区域内的小区覆盖半径和未来TD-LTE网络的覆盖状况,从而估算出满足既定覆盖要求的基站数量。容量估算是在分析一定时隙及配置条件的前提下,对TD-LTE网络可承载的系统容量进行分析和估算。通过网络规模估算,得出一个比较明确的方案和数据,以便后续规划任务的顺利开展和执行。
4.3站址规划
TD-LTE网络规划的第三阶段是站址规划阶段,该阶段主要是结合现网的站址资源和网络链路预算所建议的新建站点,完成网络站址的初步布局工作。在完成初步布局后,还需要结合现有资料或现场勘测来确定站点的可用性,对初步方案进行进一步修正,从而最终确定覆盖区域内可以使用的现网站点以及新建站点。在规划的过程中应当综合考虑站点周边地理无线环境以及工程可实施性条件等方面因素。
4.4网络仿真
网络仿真阶段需要设定详细的参数并且进行仿真试验,包括需要使用相应的TD-LTE仿真工具对规划方案进行测试,重点需要注意覆盖以及容量的仿真分析。具体而言,应当包括规划数据导入、传播预测、邻区规划、时隙和频率规划、用户和业务模型配置以及蒙特卡罗仿真。对于所得结果应当认真考虑是否满足要求,对于接近临界值的数据予以重点关注,确保网络实施后能够按照预期状况投入工作。此外,这一环节还包括各种详细参数的设定,包括天线高度、方向角、下倾角等小区基本参数、邻区规划参数、频率规划参数、PCI参数等。
4.5无线参数规划
TD-LTE无线网络参数配置规划包括邻区规划、频率规划和扰码(PCI)规划。
(1)邻区规划
TD-LTE的邻区规划是在综合考虑各小区的小区属性、覆盖范围、站间距、方位角等基础上进行的,其原理与3G网络的邻区规划原理基本相同。在与本网络进行合理邻区规划的同时,还需要特别注意与TD-SCDMA以及GSM等异系统网络间的邻区规划,避免出现因邻区设置不合理而引起的覆盖异常。
(2)频率规划
目前有同频和异频2种组网方式。在同频组网中,所有小区可以使用相同的频率,频谱利用率高,对各子信道之间的正交性有严格的要求,主要采用干扰随机化、干扰消除、干扰协调等方法避免频率干扰。异频组网中,相邻小区为了降低干扰,使用不同的频率,在频谱效率方面相对于同频要差,同时由于RRM算法实现简单,相对于同频组网其边缘速率要高。异频组网受限于频带资源,存在干扰控制与频带使用的平衡问题,需要进行合理的频率规划,确保网络干扰最小。
(3)PCI规划
LTE的物理小区标识PCI是用来方便终端对不同小区的无线信号进行区分。PCI在任何一个小区的覆盖区域是唯一的,且一个小区的相邻邻区不能有相同的PCI。基于实现简单、清晰、容易扩展的目标,目前采用的规划原则为:同一站点的PCI分配在同一个PCI组内,相邻站点的PCI在不同的PCI组内。对于存在室内覆盖场景的情况,规划时需要同时考虑是否分开规划。
5TD-LTE网络基础优化
5.1TD-LTE网络优化定义
TD-LTE无线网络优化主要是通过调整各类无线系统参数和无线网络工程设计参数,从而满足现有各类业务对各种无线网络指标的要求,尽可能提升用户业务感知。由于系统对无线网络的要求总是在不断地变化,优化调整过程往往是一个周期性的过程。根据网络建设所处阶段的不同,TD-LTE网络优化一般分为工程优化阶段和运维优化阶段。工程优化即开网优化,主要包括单站验证、簇优化、县市优化和全网优化;运维优化是指日常优化工作,是在网络运维期间的优化工作,主要工作是对投入运行的网络进行数据采集分析,找出影响网络质量的原因,使网络达到最佳的运行状态。TD-LTE网络优化目标主要有3个:最佳的系统覆盖、合理的切换带控制、最小的系统干扰。
5.2TD-LTE网络基础优化方法
TD-LTE网络优化方法主要有天馈优化、功率调整、邻区优化、小区PCI优化、重选、切换参数优化、特性算法应用等。这些方法相辅相成,缺一不可。
5.2.1天馈优化
天馈优化是TD-LTE基础优化的重点,主要通过现场调整天线的方向角、下倾角等天馈参数来改变干扰区域的各干扰信号强度,调整的原则是增强主覆盖扇区的电平,减弱其他扇区的电平,从而改变信号在该区域的分布状况,消除覆盖不合理、弱覆盖、越区覆盖、频繁切换等现象。
5.2.2功率调整
功率调整可以和天线调整配合使用,达到小区覆盖要求、切换关系符合预期、信号质量提升的目的。
5.2.3邻区优化
邻区优化使得站和站之间的重选、切换可以顺利进行。对全网邻区关系进行分析,对于邻区漏配、冗余小区进行调整,达到邻区关系最优化,提升切换成功率等网络指标。
5.2.4小区PCI优化
邻区之间的PCI规划不合理,会导致邻区之间的干扰抬升,影响用户感知,通过邻区之间的PCI优化调整,提升网络整体质量。
5.2.5重选、切换参数优化
通过调整重选参数,对用户的Idle态过程进行优化,保证用户重选和起呼过程,提升接入成功率;调整切换参数,保证用户业务的可连续性和用户感知。
5.2.6特性算法应用
在网络基础优化完成后,可以通过特性算法提升网络整体性能,如准入控制、负载控制、抗干扰的ICIC算法、降低干扰提升用户吞吐量的BF算法等。
6结束语
IEEE组织颁布的802.16标准,其频段主要针对2—66GHz,无线覆盖范围可达50公里以上,因此IEEE802.16系统主要应用于长距离无线网络(LRWN),快速地提供一种在长距离无线网络点对多点的环境下有效进行互操作的宽带无线接入手段,比固定的DSL更灵活。与所有的无线网络一样,消费者与企业所关注的层面必然首先就是无线网络安全性问题。IEEE802.16对于安全性进行了充分的考虑,其中位于媒体访问控制(MAC,MediaAccessControl)层的安全子层用来实现空中接口的安全功能。但是,由于IEEE802.16的安全体系设计时主要参考的是有线电缆数据服务接口规范(DOCSIS,DataOverCableServiceInterfaceSpecifications)和无线局域网IEEE802.11i的安全机制,给IEEE802.16带来了一些安全隐患。
2长距离无线网络安全问题
目前IEEE802.16的安全协议设计了两个版本:一个是为固定无线场景设计的PKMv1[2];另一个是为移动场景设计的PKMv2。而后者又是在PKMv1版本的基础上经过改进后规定的安全机制。PKMv1的安全机制优点是:携带的消息报文较少、效率较高、安全算法比较易于工程实现。PKMv1的安全机制主要缺陷[3]如下:(1)只提供了单向认证,没有实现真正的双向认证:协议提供了基站(BS,BaseStation)对用户站(SS,SubscriberStation)的单向认证,并没有提供SS对BS的认证,导致的后果是SS无法确认其连接的BS是否为预定的BS,从而仿冒合法的BS欺瞒SS就变得相对容易。(2)密钥质量相对较低:授权密钥(AK,AuthorizationKey)和会话密钥(TEK,TrafficEncryptionKey)都是由BS一侧产生,在单向认证的场景下,SS难以信任TEK的质量。PKMv2对在PKMv1存在的不足进行了部分完善,但仍存在以下安全方面的问题:(1)引入了EAP认证:EAP认证要求由可信任的第三方提供支持;另外,授权密钥由可信任的第三方和SS共同产生后传递给BS,这就需要可信任的第三方和BS之间预先建立一个安全通道;EAP认证其实只实现了SS和可信任第三方之间的直接双向认证,而不是SS和BS之间的直接双向认证,这样导致的后果就是假冒BS可以发动攻击。(2)RSA认证密钥质量不高:预授权密钥(PAK)是由BS一方产生的,且在PKMv2中也没有对密钥进行明确规定,没有说明密钥须由较高质量的伪随机数发生器产生,假如密钥的生成不随机,将面临非常严重的安全问题。
3长距离无线网络安全接入技术
3.1基于TePA(三元对等鉴别)的访问控制方法
国内目前解决网络安全接入问题主要采用拥有自主知识产权的虎符TePA(三元对等鉴别)技术[4]。TePA机制提供了一种安全接入方法,用来阻止接入请求者对鉴别访问控制器系统的资源进行未授权的访问,也阻止请求者误访问未授权的鉴别访问控制器系统。例如,基于三元结构和对等鉴别的访问控制可以用来限制用户只能访问公共端口,或者在一个组织内,限制组织内资源只能被组织内用户访问。它还提供了一种方法,接入请求者可以用来阻止来自未授权鉴别访问控制器系统的连接。访问控制是通过对连接在受控端口上的系统进行鉴别来实现的,根据鉴别的结果,接入请求者系统或鉴别访问控制器系统决定是否给予对方授权,允许对方通过受控端口访问自己的资源。如果对方没有获得授权,根据受控端口的状态控制参数限制在请求者系统和鉴别访问控制器系统间未授权的数据流动。基于三元对等鉴别的访问控制可以被一个系统用来鉴别其他任何连接在它受控端口上的系统,系统可以是路由器、终端设备、交换机、无线接入节点、无线基站、网关、应用程序等。
3.2长距离无线网络安全接入协议
借鉴TePA机制的解决思路,本文设计了适用于长距离无线网络安全接入协议(以下简称LRWM-SA),由以下2部分协议组成:(1)接入认证,提供了从BS到SS上密钥数据的安全分发,BS还利用该协议加强了对网络业务的有条件访问。(2)将网络传输的包数据进行安全加密的封装方法和协议,定义[5]:密码组件,即认证算法和数据加密方法;密码组件应用于报文数据载荷的规则。LRWM-SA协议出现的实体包括SS、BS和AS,其中AS(AuthenticaionServer)为认证服务器。从设备的表现形式看,AS可以是一台服务器,也可以是一台专用的网络设备,甚至可以是一个逻辑的单元驻留于BS的内部,用于实现安全子层的认证、证书管理和密钥管理等功能。接入认证过程完成SS和BS之间的双向身份鉴别,身份鉴别成功后,在BS和SS之间协商授权密钥(AK);同时,BS为SS授权一系列SA。随后紧接着进行会话密钥(TEK)协商过程。在进行接入过程前,AS需要为BS和SS分别颁发AS使用自己证书私钥签名的证书,BS和SS端均需安装AS证书,具体可以参考相关PKI(公钥基础设施)的文献和技术规范。具体步骤如下:(1)BS向SS发送接入鉴别激活消息,消息内容包含:安全接入标志、BS支持的密码算法组件、BS信任的AS身份和BS证书。(2)SS收到接入鉴别激活消息,检查是否兼容BS支持的密码算法组件,如相容则验证BS证书签名的有效性,根据接入鉴别激活消息中的BS信任的AS身份选择证书,构造接入鉴别请求消息并发送至BS,消息内容包含:安全接入标志、BS和SS均支持的密码算法组件、SS挑战、SS第一证书、SS第二证书、SS信任的AS列表、BS身份和SS的消息签名。(3)BS收到接入鉴别请求消息,利用SS签名证书的公钥验证SS的消息签名,检查BS身份字段是否与本地的身份一致,若一致则构造证书鉴别请求消息,消息内容包含:安全接入标志、BS的MAC地址、SS的MAC地址、BS挑战、SS挑战、SS第一证书、SS第二证书、BS证书、SS信任的AS列表和BS的消息签名。(4)AS收到证书鉴别请求消息,利用BS证书的公钥验证BS的消息签名,则验证BS证书、SS第一证书和SS第二证书,然后构造证书鉴别响应消息发送至BS,消息内容包含:安全接入标志、BS的MAC地址、SS的MAC地址、BS挑战、SS挑战、BS证书验证结果、SS第一证书验证结果、SS第二证书验证结果、BS身份、SS身份和AS的消息签名。(5)BS收到证书鉴别响应消息,根据BS的MAC地址、SS的MAC地址查找对应的证书鉴别请求消息,确定证书鉴别响应消息中的BS挑战字段的值与本地证书鉴别请求消息中对应的BS挑战字段是否相同,如果相同则使用AS证书公钥来验证证书鉴别响应消息签名;验证后,根据证书鉴别响应消息判断SS的合法性,若SS合法则生成授权密钥材料,利用授权密钥材料、BS挑战和SS挑战推导出新的授权密钥,使用SS第二证书的公钥加密授权密钥材料,然后构造接入鉴别响应消息发送至SS,消息内容包含:安全接入标志、BS的MAC地址、SS的MAC地址、BS挑战、SS挑战、BS证书验证结果、SS第一证书验证结果、SS第二证书验证结果、BS身份、SS身份、AS对消息进行的签名、更新后的授权密钥安全关联、加密后的授权密钥材料和BS对消息进行的签名。(6)SS收到接入鉴别响应消息后,比较SS挑战与本地先前在接入鉴别请求消息中包含的SS挑战是否相同,利用BS证书公钥验证BS的消息签名,利用AS证书公钥验证接入鉴别响应消息签名;验证后,根据接入鉴别响应消息判断BS的合法性,使用SS第二证书的私钥解密授权密钥材料,利用授权密钥材料、BS挑战和SS挑战推导出新的授权密钥,启用新的鉴别密钥,将接收到的更新的授权密钥安全关联和此授权密钥相关联,并使用鉴别密钥推导出密钥加密密钥和消息鉴别密钥,然后构造接入鉴别确认消息发送至BS,消息内容包含:安全接入标志、BS挑战、BS身份、更新的授权密钥安全关联和消息鉴别码。(7)BS收到接入鉴别确认消息,比较BS挑战与本地在证书鉴别请求消息中发送的BS挑战是否相同,检查BS身份,比较更新的授权密钥安全关联与接入鉴别响应消息中授权密钥安全关联的标识、密钥索引、安全组件是否一致,密钥有效期是否较短,使用本地推导出的授权密钥进一步推导出密钥加密密钥和消息鉴别密钥,根据消息鉴别码校验数据完整性后,使更新的授权密钥材料生效,否则解除BS与SS的连接。在会话密钥协商过程完成后,可以进行会话业务的保密通信。这里需要注意的是,所有密码(包括AK和TEK)都需要进行周期性的更新,以保证不被穷尽法破解。LRWM-SA协议与PKMv1和PKMv2协议相比,具有以下优点:(1)对长距离无线网络中的认证和会话密钥协商过程做了替换性的更改,其他内容保留了原长距离无线网络的协议定义。因此,更改后的安全协议也可以符合原长距离无线网络对于无线接入的功能和性能要求。(2)在接入认证过程中,采用SS和BS的直接双向认证替代原有的单向认证,使得BS和SS都能确认与预先确定的对方进行通信,入侵者无法冒充合法BS来骗取SS的信任,从而降低了中间人攻击所带来的安全威胁。(3)密钥协商过程中,授权密钥由BS和SS共同产生,避免了由BS单方面产生和分配,提高了密钥的质量,进一步增强长距离无线网络的安全性。
3.3安全性分析
安全协议的形式化分析方法分为两类:一类是基于数学分析的方法,建立数学模型,然后逐步通过定理证明来推论协议的有效性,通常用于学术界;另一类是基于符号变换的方法,把协议执行看作符号重写,分析协议的可达状态,匹配协议的安全目标,一般有自动化工具支持,适用于工业界。本文采用AVISPA工具中的OFMC方法对LRWM-SA协议的安全性进行分析。OFMC使用状态、规则和攻击规则来描述协议,AVISPA通过HLPSL来明确地描述协议和协议希望达到的安全目标,然后使用OFMC等分析工具给出分析结果。通过对众多已存在的协议和IETF正在标准化的一些协议进行安全分析,AVISPA找出了以前没有发现的缺陷,显示了其优越性。通过协议安全性分析,验证了LRWM-SA协议可满足认证性和秘密性的设计目标。
4结束语
1.1设备概述
该设备以高性能计算机主板为核心,将无线AP、计算机、大容量硬盘、POE自适应交换机等功能融合于一体,实现了基于设备内部影音、图书等数字文化信息移动覆盖传播的目的。POE自适应网口可以扩充POE设备,如网络摄像头、无线AP等,为该设备功能的扩展提供了保障。
1.2设备构造
“无线数字中心”设备由顶板、底板、主体、后板四部分通过特殊卡件连接而成。正面有电源按钮及运行指示灯,背面有2个USB3.0接口、1个HDMI高清接口、3个自适应以太网口及1个19V电源适配器供电接口。机壳侧面有2.5寸抽拉式硬盘架开口。壳体采用自然对流散热设计,冷空气可以通过侧面板的散热孔进入再由后方的风孔排除,达到机箱散热的目的。该设备外壳采用全铝材质、橡胶防震脚座。颜色为银色,表面拉丝处理。设备内部由高密度集成计算机主板,无线AP主板,POE交换机主板及2.5寸抽拉式硬盘架有机结合成为一个整体。
1.3性能特点
(1)主机性能高、功耗低、适应性好。采用intel原装工业级专用控制主板,高速四核CPU,操作系统装在固态硬盘中,配合4G内存,采用可更换式大容量高速数据硬盘存储,主机系统运行流畅。主机中CPU及各元件采用低功耗设计,用电量极低,正常运行功耗只有20W。
(2)WIFI信号覆盖范围广。主机中集成高性能双极性增强型无线网络技术AP,功率达到500mW*2,配合户外双极性全向天线,WIFI覆盖距离远,信号辐射半径超过1Km。
(3)支持外设丰富。主机融合了POE交换机的功能,可以只通过网线为远程摄像机提供电源和信号,通过配套软件可以实现坐在家中通过移动设备监视远在几百米外的环境等的功能;同时支持增加更多的移动AP来增强信号。该设备支持3G上网卡的接入,通过软件配合可以远程更新系统资源和诊断设备故障;
(4)易用性高、免维护。主机采用“傻瓜式”设计,整个系统只需连接电源线和天线馈线,无需更多连接。接线采用防错插设计,防止使用人员插错。设备连接好后,操作人员只需按下主机上唯一的电源键即可,无需更多操作,整个系统自动运行。系统设计采用黑匣子模式,整个系统有一个专用视频接口和两个USB接口以及三个以太网接口。专用视频接口用于调试设备时连接显示器;USB接口用于调试设备时连接无线键鼠和更新资源时连接移动硬盘等USB设备。正常使用过程中,普通用户无需连接显示器和其他设备。
(5)高度灵活的扩展性。系统采用模块化设计,充分考虑了扩展性的要求。配置可根据实际覆盖用户的数量需求提供高配或低配版本。在用户数量变化后,也可方便的升级硬件系统。数字资源更换方式多样灵活,既可采用更换数据硬盘的方式,也可采用千兆网线传输的方式,还可采用USB口拷贝的方式,甚至采用无线网络技术网络传输等多种扩展数字资源的方式。
(6)便携式。该主机可以被随意带到需要数字信息资源的地方,在没有固定电源的情况下通过太阳能移动电源为主机供电,设备同样可以正常工作3~4小时。也可以配合车载电源逆变器使用,将设备放在汽车里,通过车载电源逆变器为主机供电,成为一台真正可以随处移动的数字信息传播工具。
2设备软件结构及APP应用
该设备同时支持Android、iOS、PC终端系统进行访问。有以下两种连接方式:
(1)Android、iOS系统通过手机、平板电脑终端打开WIFI,连接无线网络技术数字中心ID,下载对应APP应用,安装后进入APP应用连接设备系统资源。
(2)通过电脑PC端在浏览器输入指定的网址,无需下载应用,直接进行资源访问。
3“无线数字中心”设备网络架构
“无线数字中心”各台设备的运行情况通过CATServer服务软件汇总到专用服务器,以便对每台设备进行相应的检测及管理。CATserver是一款与无线数字中心系统配套使用的监控软件,其主要功能为以下几点:
(1)监听无线数字中心的实时状态。通过CATserver用户可以在第一时间知道无线数字中心是否正在运行。
(2)历史记录查询。通过CATserver用户可以得到无线数字中心的历史运行轨迹。譬如,何时曾开机,何时曾关机,设备运行了多长时间。
(3)服务器与设备、设备与设备之间的通讯。如果服务器与设备、设备与设备之间网络通信正常,可以通过移动终端使用应用软件进行文字对话。随着该监控软件功能的逐步拓展,未来“无线网络技术数字中心”的设备故障等重要信息都会被记录、汇总,更加有利于设备的远程维护。
4总结
Wi-Fi技术是上世纪末由Wi-Fi联盟提出来的技术标准,属于在办公室和家庭中使用的短距离无线技术,主要应用于局域网中。除个别版本使用5GHz附近频段外,Wi-Fi技术主要使用2.4GHz或5GHz附近频段。当前应用的802.1la/b/g/n协议版本。Wi-Fi技术的定义其实只涉及数据链路层的MAC子层和物理层,上层协议和802.3的定义都遵守802.2。对于数据安全性,Wi-Fi技术中更多使用的是WEP或WPA加密方法来实现对网络访问的验证和数据的加密,而这两种加密方式都存在一定的安全风险,尤其是WEP协议。在WEP协议中,使用的RC4算法本身就有缺陷,同时协议没有密钥管理机制,缺少对数据包的身份认证。针对WEP的各种漏洞缺陷已经出现多种解密的工具,这些工具都能在拦截到足够多的数据信息的前提下,很快解析出WEP的用户密钥,信息量越大,解密速度越快。虽然WPA和WPA2的加密技术有很大的提高,但是仍有一定的安全风险。在WPA协议的4次握手包中包含和密码有联系的信息,可以依靠这个信息来进行字典攻击。在这里成功破解出信息,关键依赖良好的字典和运算速度。
2工业无线网络安全隐患
虽然Wi-Fi具有传输速度高、覆盖范围广、建设成本低、辐射更小等特点,但其本身在安全性方面存在缺陷,故采用Wi-Fi技术的工业无线网络也面临着不少安全威胁。
2.1容易被入侵
工业无线网络的无线信号是广播的状态,即在特定范围内的用户都可以发现Wi-Fi信号的存在,任何恶意的入侵者都可以通过无线设备和破解工具对侦测AP并对无线网络发起攻击。Wi-Fi在对网络访问的验证和数据传输方面也采用了加密方式,如WEP、WPA和WPA2协议等,但是入侵者仍然可以通过破解WEP/WPA/WPA2协议来入侵Wi-Fi网络,一些无线网络分析仪可以轻松破解Wi-Fi网络的认证密码,一些有目的的入侵者除了通过技术破解方式非法接入工业无线网络之外,还有可能利用社会工程学的入侵手段进行接入,如入侵者向合法用户套近乎或采取有偿的方式获得接入用户名和密码也能达到目的。
2.2有限带宽容易被恶意攻击占用和地址欺骗
入侵者在接入Wi-Fi网络后发送大量的ping流量,或者向无线AP发送大量的服务请求,无线AP的消息均由入侵者接收,而真正的移动节点却被拒绝服务,严重的可能会造成网络瘫痪;入侵者同时发送广播流量,就会同时阻塞多个AP;攻击者在与无线网络相同的无线信道内发送信号,而被攻击的网络就会通过CSMA/CA机制进行自动使用,这样同样会影响无线网络的传输;恶意传输或下载较大的数据文件也会产生很大的网络流量。这种情况在无线城区应用中较少见,入侵者恶意堵塞网络,极有可能是要故意破坏生产环境,造成一定的损失。在工业生产中可用性应该是第一位的,对工业网络安全来说,保证网络的可用性也是第一位的。所以这种威胁对工业无线网络来说威胁是比较大的。
2.3数据在传输的过程中很容易被截取
通过监听无线通信,入侵者可从中还原出一些敏感信息;当工业无线网络传输数据被截取后,入侵者甚至可能伪造某些指令给工业生产造成损失。
2.4伪造AP入侵者
可以自己购买AP并将AP的ID设置为正规的AP的SSID来欺骗用户接入并窃取敏感资料。这种危害主要是使新接入用户会误接入到伪造AP中,无法正常工作。
2.5高级入侵
只要是入侵者采用合法或者非法手段接入无线城区,他就可以以此作为入侵其它系统的跳板,采用黑客手段攻击其它系统或网络,而他的行踪则很难被追寻;或者通过劫持身份验证会话、伪造认证服务器及验证回复等步骤,攻击者不但能够获取无线账户及密码,遭遇到更深层面的欺诈等。
3结束语
影响流媒体性能的主要因素
对于P2P流媒体系统的视频质量一般可采用客观视频质量评定方法。客观测量基于仿人眼视觉模型的原理对图像质量进行客观评估,并给出客观评价分。ITU-R视频质量专家组规定了两种评估方法:峰值信噪比(PSNR——PeakSignalNoiseRatio)和均方差(MSE——MeanSquareError)。本文采用易实行、速度快的PSNR视频质量评定方法。一般来说,PSNR的值越高,视频质量越好,反之亦然。为分析影响流媒体性能的主要因素,图1给出了P2P视频流在网络中的编码、传输与解码过程。
视频数据从源节点经过应用层的编码、P2P覆盖层的转发、路由层的路径选择、MAC层的信道分配和无线Mesh链路传输到达目的节点,用户终端经过解码后才能观看网络视频。从应用层至物理层都有因素影响了无线Mesh网络中的P2P流媒体性能。在这个过程中,流媒体的编解码方式、编码速率、数据转发路径的选择和跳数为应用层因素。本文针对上述四种应用层因素从Mesh网络测试的角度进行了评估。编解码方式是影响流媒体质量的直接因素,因为源数据经过编码以后才能在网络中传输,目前主流的视频压缩编码标准如H.263、MPEG-4和H.264均采用运动估计技术进行视频编码,这会造成帧速率的降低、保真度的下降以及马赛克的出现。其表现为视频播放不流畅、画面没有原来那么清晰。相应地接收端在接收到视频数据包以后需要解码才能在用户端播放。由于无线Mesh网络的带宽有限,所以编码文件的比特率(编码速率)不能太大,而比特率太小会造成画面质量不理想,影响视频的PSNR值。
数据转发路径的选择包括P2P与非P2P两种方式。已有的研究多数选择P2P的方式。它最大的优点就是对等点边下载边上传,减轻了服务器的负担,然而P2P技术不能照搬有线网络中的算法直接用于无线Mesh网络,原因是增加的对等点之间的数据流也带来了不同数据流之间的干扰(流间干扰),影响了P2P流媒体性能。虽然最小跳数已被证明不是无线Mesh网络的最佳路由策略,但是文献指出,在链状拓扑的无线Mesh网络中,VoIP(VoiceoverIP,网络电话)业务的质量随着跳数的增加而下降,猜想无线Mesh网络中的流媒体性能也与跳数有关。因此本实验针对跳数对视频质量的影响给出了测试结果。
基于无线Mesh网络的P2P流媒体实验平台设计
1硬件平台
为了测试上述因素对流媒体性能的影响,在20米×20米的开放区域搭建了一个无线局域Mesh网络,并在应用层部署了P2P流媒体系统。整个无线Mesh网络由无线Mesh路由器、流媒体服务器、网关和终端用户组成,具体网络架构、IP设置和信道分配信息如图2所示。图2具有典型的无线Mesh网络的自组网、多跳路由、多信道和冗余链路的特性。无线Mesh路由设备采用Strixsystem公司生产的OWS(OutdoorWirelessSystem,室外无线系统)和IWS(IndoorWirelessSystem,室内无线系统)1。其中,OWS设备是整个Mesh网络的控制中心,可以发现网络中新加入的设备,控制网络拓扑,监视每个Mesh节点的状态,更改数据传输信道和报告设备故障等。IWS节点具有转发、接入、覆盖功能。为了避免干扰,无线Mesh设备之间的回程链路与覆盖链路的信道中心频率间隔设为大于160MHz,如图2中IWS-5的覆盖链路选用ch132(中心频率5660MHz),回程链路选用ch100(中心频率5500MHz)。在设备自带的软件中设置信号强度切换阈值为-90dBm,因此一旦检测到该信道信号强度低于-90dBm设备就自动切换一条系统认为最佳的信道,实验模型采用基于多径路由的路由算法,即一旦检测到某条链路太弱便自动切换到备用链路。由于载频为5.8GHz的IEEE802.11a干扰小,传输距离和干扰距离短,适合室内小范围实验,因此实验中的无线局域网协议采用IEEE802.11a标准。测试中将图2所示的两个网段所有设备的IP互相ping通,表示整个实验平台和测试环境已经搭建成功。
2软件平台
为了使终端用户能够通过P2P方式点播流媒体服务器上的视频,在PC0上安装了P2P服务器软件——Webplayer9服务器,所有终端用户均装有P2P播放器——Webplayer9播放器和编解码器2,使用该软件的终端共同组成一个对等网络。为了在实验中将P2P技术与非P2P技术作对比,在PC0安装了非P2P服务器软件——HelixServer3和非P2P播放器软件——RealPlayer,使用HelixServer和RealPlayer部署的点播平台只能使用户采用C-S(客户端—服务器)模式获取视频。
为便于进行可控的重复试验,更好地控制从流媒体服务器到终端用户的各项网络参数,在网关安装了NISTNet4工具,它是能够动态实时仿真IP网络环境的开源工具,能够使主机开启路由功能从而实现网络中端到端之间的重要网络层参数如带宽、时延、抖动和丢包率等的模拟,在本实验中安装在双网卡主机上使其充当网关。通过在计算机终端界面输入所要控制的终端的IP地址和具体参数值即可控制网络层参数。
实验结果与分析
下面分别对编解码方式、编码速率、数据转发路径的选择和跳数等因素对无线Mesh网络中P2P流媒体性能的影响进行了测试与分析。
1编码方式与视频质量的关系
为了测试H.263,H.264和MPEG-4三种主流的编码方式对流媒体性能的影响,将三种编码方式编码的视频放在服务器上,所有用户终端通过无线Mesh网络同时向服务器请求相应的视频数据。实验场景如图3所示。终端用户PC1—PC6分别上连到IWS-1—IWS-6,两台无线设备的间隔约5米。
PC1-PC6同时向流媒体服务器请求观看同一视频,在3种编码方式下各进行一次实验。每次试验在确保各PC已成功加载视频之后视频观看完成之前测试带宽、时延、吞吐量和PSNR等参数。测试时间从视频开始播放的时刻起持续2分钟。在PC1处测得3种编码方式对应的上下行带宽变化如图4(a)和图4(b)所示。带宽的波动意味着无线Mesh网络单位时间传送数据量的多少变化。本实验测得的带宽值是指除数据占用带宽以外的剩余带宽,因此测得的网络带宽值越小说明此时视频数据已经占用的带宽越大。
从图4(a)和图4(b)可以看出,采用H.263和MPEG-4两种方式编码的视频在网络中传输时造成的上行带宽和下行带宽波动都很大,相对而言H.264编码的视频在传输过程中的带宽比较稳定。此时的视频质量和其它网络参数对比如表1所示。观察表1可以看出,PSNR值较高的是MPEG-4编码的视频(20.6dB)和H.264编码的视频(20.0dB),但是由于丢包的存在使得在MPEG-4编码的视频在播放过程中出现了3次停顿和轻微的马赛克现象。
PSNR值最低的是H.263编码的视频,而且在视频点播后加载缓冲时间间断累积长达20秒。由于流媒体是对时延敏感的业务,在无线Mesh网络中选择编码方式时,应该选择时延尽可能小,PSNR值尽可能高的编码方式。相对而言,H.264编码的视频PSNR值较高(20.0dB),平均时延为4.3ms,视频播放没有停顿现象,视频占用带宽适中,并没有造成网络带宽的大幅度波动。因此H.264编码方式更适合无线Mesh网络中流媒体的传输。
2编码速率与视频质量的关系
为了测试不同编码速率对流媒体性能的影响,将编码速率分别为300kbps、500kpbs、1000kbps、1500kbps、2000kbps、2500kbps和3600kbps的视频放在流媒体服务器上,终端用户PC1—PC6通过无线Mesh网络向流媒体服务器PC0请求同一视频数据。实验场景同4.1节。在确保各台PC已成功加载视频之后视频观看完成之前测试7种不同编码速率条件下的带宽、时延、吞吐量和PSNR等参数。7种不同编码速率条件下分别进行一次实验,每次实验除编码速率不同以外其它实验条件如网络拓扑和丢包率完全相同。在PC1处测得不同编码速率对应的视频质量(平均PSNR值)如表2所示。
观察表2可以发现,不同编码速率的视频的PSNR值的变化趋势大体相同,都是在视频的前500帧PSNR值偏高,500帧以后PSNR值有所下降。最差的帧都集中在第760帧、第3400帧附近。根据表2的结果,编码速率的增加并没有带来PSNR值的增大。吞吐量和时延等网络层参数与PSNR也没有直接的关系。PSNR值只与编码速率和网络连接速度之差有关。当编码速率小于网络最大连接速度时会造成PSNR值的下降。即表中编码速率为3600kbps的情况。因此必须确保流媒体文件的编码速率小于网络连接速度才能获得高质量的视频。
3数据转发路径的选择对视频质量的影响
为了测试两种数据转发方式(P2P与非P2P方式)对无线Mesh网络流媒体性能带来的影响,实验分析了P2P方式下产生的增益与干扰,并从丢包率、时延、吞吐量和PSNR四个方面将P2P方式与非P2P方式进行了对比。
3.1P2P方式的优势
实验场景仍如图3所示。终端用户PC1—PC6同时向PC0请求点播同一视频。两种不同的数据转发方式下分别进行一次实验。除数据转发方式不同以外其它实验条件如网络拓扑和丢包率完全相同。第一次实验采用P2P技术,用NISTNet工具控制PC0PC6的丢包率分别为0%、5%和10%,测试此时网络的吞吐量、时延和PC6接收到的视频的PSNR值;第二次实验采用非P2P技术,其余测试过程和测试条件与第一次实验相同。在PC6处测得随着丢包率的变化,采用P2P技术与采用非P2P技术的结果对比如表3所示。
从表3实验结果可知,在丢包率为0%和5%的情况下,采用P2P技术与采用非P2P技术的吞吐量几乎相等,前者时延比后者小3ms,所获得的视频质量只相差0.5dB,而当丢包率达到10%以后,采用P2P技术比采用非P2P技术吞吐量高出400kbps,时延减少15.5ms,所获得的视频质量高出2.4dB。
从横向数据来看,随着丢包率的上升,采用P2P技术的情况下网络性能和流媒体质量稳中有升,而采用非P2P技术的网络性能和流媒体质量均下降。因此,在丢包率小于10%的情况下P2P技术能避免因丢包带来的质量下降,而对非P2P来讲丢包率的增加会造成网络性能和流媒体性能的下降。
3.2P2P方式下带来的干扰
图5和图6是在PC6处测得的采用P2P技术与非P2P技术获得的流媒体PSNR曲线对比,通过观察图5可知,采用P2P技术获取的视频平均PSNR值为19.1dB,非P2P的平均PSNR值16.2dB,采用P2P技术比采用非P2P技术的视频质量平均高出2.9dB,最高可高出5-7dB。从图6的结果可以看出,1000帧以后,P2P技术的优势就不存在了,P2P情况下PSNR平均值为13.5,非P2P的平均PSNR值为13.7,两者几乎相等。
为了找出造成P2P流媒体在1000帧以后PSNR值下降的原因,实验测试了1000帧以后的网络性能。由于P2P技术与非P2P技术的根本区别在于前者客户端参与转发而后者客户端只接收不上传,这就造成了前者网络中存在的数据流比后者多。因此实验对比了下面两个场景的性能差异:一是PC5、PC6同时向PC0请求点播视频,即两条数据流;二是仅PC6向PC0请求视频,即只有一条数据流。实验结果如表4和图7所示。从表4可以看出,一条数据流比两条数据流的情况在信号强度和上下行带宽方面都有提高。由图7的实验结果可知,一条数据流的平均吞吐量比两条数据流的平均吞吐量高出200kbps。这是由于采用P2P技术的客户端之间为了对抗丢包而增加了互传的数据流,从而导致了网络中同时传输的数据流增多,带来不同数据流之间的流间干扰,因而降低了网络的端到端吞吐量,起初仅有零星的丢包,而丢包事件发生后持续“繁殖”下去,造成了PSNR值的下降越来越快,在经历了40秒的“繁殖”后,即在1000帧以后显示出PSNR值的迅速下降。从图5和图6可知,采用P2P技术的1000帧以后比前1000帧平均PSNR值降低了6dB。可见,流间干扰严重影响了P2P流媒体的性能。因此,在无线Mesh网络中设计P2P覆盖层数据转发路径算法时,必须充分考虑到流间干扰的影响,数据转发树的出度即客户端的下属子节点数目要适中,太少不能充分发挥P2P技术的优势,太多会造成流间干扰。
跳数对流媒体性能的影响
为了测试跳数对流媒体的影响,在图3的实验场景中,使PC1-PC6同时向PC0以P2P方式点播视频,用NISTNet工具控制OWSPC6的丢包率,分别测试了OWSIWS-2(一跳)、OWSIWS-5(两跳)和OWSIWS-6(三跳)三种情况下的吞吐量随丢包率的变化、跳数对时延的影响以及此时PC2(一跳)、PC5(两跳)、PC6(三跳)接收到的视频PSNR值。实验结果如图8、图9和表5所示。由图8的实验结果可知,在无线Mesh网络中传输P2P流媒体时,丢包事件产生后会持续繁殖下去,但这种繁殖对网络传输能力造成的影响需要一定的反应时间,因此吞吐量并不一定随着丢包率的上升而严格下降。但是吞吐量随着跳数的增加而迅速下降,这与实验中的PC2、PC5、PC6为链状拓扑结构有关。而从表4-55可以看出,时延随着跳数的增加而迅速增加。这意味着无线Mesh网络的传输能力与跳数的多少成反比,跳数越多,网络性能越差。根据图9的结果,在无线Mesh网络中传输P2P流媒体视频时,一跳、两跳、三跳情况下的平均PSNR值分别为20.4dB、19.2dB、20.3dB,两跳的情况最差。一跳的情况在100帧之前比两跳的情况平均高出1.2dB,最高高出3.9dB;比三跳的情况平均高出1.5dB,最高高出5.5dB。随着视频的播放,100帧以后,三跳的PSNR值比一跳平均高出0.6dB,最高高出4.0dB;比两跳平均高出1.5dB,最高高出4.7dB。因此,在P2P技术与无线Mesh网络结合的环境中,虽然无线Mesh网络性能与跳数的多少成反比,但是跳数对流媒体性能的影响并不完全符合PSNR值与跳数成反比的规律。这是因为影响无线Mesh网络中P2P流媒体PSNR值的因素不仅包括跳数,还包括数据转发路径的选择、流间干扰,以及P2P覆盖层拓扑结构等因素。因此在无线Mesh网络中传输流媒体时,特别当无线Mesh网络拓扑为链状时可以借助P2P技术来减少因网络性能下降而造成的视频质量降低。
结束语
关键词:数据通信无线网络技术新兴领域
一、无线网络概述
无线网络技术涵盖的范围很广,既包括允许用户建立远距离无线连接的全球语音和数据网络,也包括为近距离无线连接进行优化的红外线技术及射频技术。通常用于无线网络的设备包括便携式计算机、台式计算机、手持计算机、个人数字助理(PDA)、移动电话、笔式计算机和寻呼机。无线技术用于多种实际用途。例如,手机用户可以使用移动电话查看电子邮件。使用便携式计算机的旅客可以通过安装在机场、火车站和其他公共场所的基站连接到Internet。在家中,用户可以连接桌面设备来同步数据和发送文件。
二、无线网络的标准
为了解决各种无线网络设备互连的问题,美国电机电子工程师协会(IEEE)推出了IEEE802.11无线协议标注。目前802.11主要有802.11b、802.11a、802.11g三个标准。最开始推出的是802,11b,它的传输速度为lIMB/s,最大距离室外300米,室内约50米。因为它的连接速度比较低,随后推出了802.11a标准,它的连接速度可达54MB/s。但由于两者不互相兼容,致使一些早已购买802.11b标准的无线网络设备在新的802,11a网络中不能用,所以IEEE又正式推出了完全兼容802.11b标准且与802.11a速率上兼容的802.11g标准,这样通过802.11g,原有的802.11b和802.11a两种标准的设备就可以在同一网络中使用。IEEE802.11g同802.11b一样,也工作在2.4GHz频段内,比现在通用的802.11b速度要快出5倍,并且与802,11完全兼容,在选购设备时建议弄清是否支持该协议标准。选择适合自己的,802.11g标准现在已经开始普及。
三、无线网络类型
(一)无线广域网(WWAN)。无限广域网技术可使用户通过远程公用网络或专用网络建立无线网络连接。通过使用由无线服务提供商负责维护的若干天线基站或卫星系统,这些连接可以覆盖广大的地理区域,例如若干城市或者国家(地区)。目前的WWAN技术被称为第二代(2G)系统。2G系统主要包括移动通信全球系统(GSM)、蜂窝式数字分组数据(CDPD)和码分多址(CDMA)。现在正努力从2G网络向第三代(3G)技术过渡。一些2G网络限制了漫游功能并且相互不兼容;而第三代(3G)技术将执行全球标准,并提供全球漫游功能。ITU正积极促进3G全球标准的指定。
(二)无线局域网(WLAN)。无线局域网技术可以使用户在本地创建无线连接(例如,在公司或校园的大楼里,或在某个公共场所,如机场)。WLAN可用于临时办公室或其他无法大范围布线的场所,或者用于增强现有的LAN,使用户可以在不同时间、在办公楼的不同地方工作。WLAN以两种不同方式运行。在基础结构WLAN中,无线站(具有无线电网卡或外置调制解调器的设备)连接到无线接入点,后者在无线站与现有网络中枢之间起桥梁作用。在点对点(临时)WLAN中,有限区域(例如会议室)内的几个用户可以在不需要访问网络资源时建立临时网络,而无需使用接入点。
(三)无线个人网(WPAN)。无线个人网技术使用户能够为个人操作空间(POS)设备(如PDA、移动电话和笔记本电脑等)创建临时无线通讯。POS指的是以个人为中心,最大距离为10米的一个空间范围。目前,两个主要的胛AN技术是“Bluetooth”和红外线。“Bluetooth”是一种电缆替代技术,可以在30英尺以内使用无线电波传送数据。Bluetooth数据可以穿过墙壁、口袋和公文包进行传输。“Bluetooth专门利益组(SIG)”推动着“Bluetooth”技术的发展,于1999年了Bluetooth版本1.0规范。作为替代方案,要近距离(一米以内)连接设备,用户还可以创建红外链接。
为了规范无线个人网技术的发展,IEEE已为无线个人网成立了802.15工作组。该工作组正在发展基于Bluetooth版本1.0规范的WPAN标准。该标准草案的主要目标是低复杂性、低能耗、交互性强并且能与802.11网络共存。
无线个人网和无线局域网并不一样。无线个人网是以个人为中心来使用的无线个人区域网,它实际上就是一个低功率、小范围、低速度和低价格的电缆替代技术。但无线局域网却是同时为许多用户服务的无线网络,它是一个大功率、中等范围、高速率的局域网。
最早使用的WPAN是1994年爱立信公司推出的蓝牙系统,其标准是[EEE802.15.1[w-BLUE]。蓝牙的数据率为720kb/s,通信范围在10米左右。为了适应不同用户的需求,无线个人网还定义了另外两种低速WPAN和高速WPAN。
(四)无线城域网(WMAN)。无线城域网技术使用户可以在城区的多个场所之间创建无线连接(例如,在一个城市或大学校园的多个办公楼之间),而不必花费高昂的费用铺设光缆、铜质电缆和租用线路。此外,当有线网络的主要租赁线路不能使用时,WWAN还可以作备用网络使用。WWAN使用无线电波或红外光波传送数据。为用户提供高速Internet接入的宽带无线接入网络的需求量正日益增长。尽管目前正在使用各种不同技术,例如多路多点分布服务(MMDS)和本地多点分布服务(LMDS),但负责制定宽带无线访问标准的IEEE802.16工作组仍在开发规范以便实现这些技术的标准化。
无线城域网服务范围可覆盖一个城市的部分区域,通信的距离变化较大(远的可达50公里),因此接收到的信号功率和信噪比等也会有很大的差别。这就要求有多种的调制方法。因此工作在毫米波段的802.16必须有不同的物理层。802.16的基站可能需要多个定向天线,各指向对应的接收点。由于天气条件(雨、雪、雹、雾等)对毫米波的传输的影响较大,因此与室内工作的无线局域网相比较时,802.16对差错的处理也更为重要。
关键词:无线网络;网络发展;问题
1 无线网络的介绍
1.1 无线网络定义
我们所说的无线网络是利用网络技术中的无线点波来实现电脑网络设备与位置无关的互联网络数据传送的一种信息系统。无线网络是一种非常灵巧方便的数据传输系统,它是从传统的有限网络系统自然延伸出来的一种新的网络技术。
1.2 无限网络的特点
第一、随着无限网的发展,现在普遍在用的无线局域网技术大体可分为两种,无线局域网以蓝芽为主,无限广域网则以3G为主。这两种无限网络的运用和走势是最强的。无线网络最大特点就是:可以随时、随地、移动并非常便捷的使用。
第二、无线网络的优势与便捷性就是可以让人们在任何地方任何时间都可以接入网络。
第三、无线网络使人们在任何时间、任何人群都可以进行互联网访问成为可能。无线网络的发展使得不同层次的人都可以非常方便的登陆交流平台,还可以在任何时间通过电子邮件与同事及业务合伙人交流信息与处理业务关系。而且无线网络还不会受到线缆连接的限制。
第四、现实中高度移动的计算。在目前,大多数无线网络的运用是通过笔记本电脑或者是掌上电脑来完成的。但是,随着时间与网络技术的发展这种局面会发生很大的变化。在信息化大发展的背景下越来越多的无线厂商开始提供一些功耗和无线解决方案成本的芯片级解决方案,相信这种芯片的诞生会使得无线网络技术的发展变得更迅速。
2 在无线网络发展过程中存在的问题
2.1 无线网络技术在实际应用中的问题
对于无线网络产品双频系统的推广、推出等一系列变化等方面。可是面对用户的实际操作应用,其中存在的一些问题就在一定程度上制约了无线网络的实际应用与推广。
2.2 无线网络技术使用习惯的问题
对于我国国内大多数的无线网络用户来说还存在着一定的问题,就是他们随时随地需要无线网络和使用无线网络的需求还不是那么迫切,至少有很多人的需求还没有达到一个普遍的需求标准,这种网络用户使用需求的不迫切性也影响了无线网络的发展速度。
2.3 我国终端服务设备的发展还存在着不适应的现象
由于对于无线网络的运用就意味着移动和便捷高效性,所以现在市场上的笔记本电脑和一些其他无线网络服务设备还不能满足许多用户的实际需求,所以无线网络在发展的过程中应该关注不同群体之间的需求,根据他们的需求来发展无线网络,这样有利于无线网络的发展,所以随之而来的无线网络市场也将会有很大的增长变化。
3 解决的办法与方案概述
3.1 重视拥有自主知识产权的工具开发
当前运营商的规划、优化工具的主要提供者是国外公司,由于我国公司生产与开发的工具技术含量低等各种因素,尽管有少量国内公司的产品已被运营商采用,但是这些产品的利用率很低。笔者认为,新的发展形势下的网络规划与网络优化的工具是具有技术性与实际应用性很强的一项产品,而我们仍基本处于起步阶段。所以我国在对标准设备制造加大投入的同时,国家也应该对这方面研发给予一定的支持与投入,做好开发与优化等方面工具的开发。
3.2 要建立一支高水平的网络监控管理队伍
可以说运营商是建设互联网络、维护和发展互联网络的主体部分,因此网络运营商在互联网中起到了非常关键的作用。笔者认为可行的办法是运营商建立一支高水平的技术监控队伍,另外结合网络发展的实际共同研究理论相结合,最终的目的就是以解决网络建设和网络维护所存在的问题为主。然而,当前在互联网络的优化等领域内,许多核心的技术仍掌握在设备提供商与运营商的手中。所以运营商努力提高互联网技术人员的网络技术水平并建立一支高质量的监控队伍是有必要的。
3.3 注意无线网络运用过程中的安全性
用户可以通过以下几点来选择适合自己的安全系统;第一、建立用户认证,第二、数据加密,第三、长时间不用的情况下关闭网络,第四、开启网络内每一台设备的网络防火墙,第五、设置MAC地址过滤,第六、为网络设备分配静态IP地址,第七、确定位置,隐藏好家庭路由器或中继器,第八、根据MAC地址对客户端进行过滤,第九、不允许自动连接,第十、虚拟专用网技术。
3.4 建立第三方优化队伍
运营商可通过高素质的技术人员指导第三方队伍实施网络的优化和维护。从以往的经验来看,第三方队伍的出现可以使运营商更好的来管理和维护自己的网络。从目前C网络优化的具体情况看,我国国内也涌现出了许多这样的公司,他们或多或少地参与了一些网络优化工作,因此首先我们应该看到大力发展第三方队伍是可行的也是实际的,我们可以通过在优化工程的招标时根据第三方队伍的技术级别和投标价格等综合因素考虑中标者的资格与权限。
[参考文献]
论文摘要:随着高校信息化建设水平的不断提高,无线网络逐渐成为校园网解决方案的一个重要组成部分。该文对校园无线网接入进行研究,并对校园无线网络的安全进行了分析,最后给出了一种适合校园网无线网络的安全解决方案。
1引言
在过去的很多年,计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在实施过程中工程量大,破坏性强,网中的各节点移动性不强。为了解决这些问题,无线网络作为有线网络的补充和扩展,逐渐得到的普及和发展。
在校园内,教师与学生的流动性很强,很容易在一些地方人员聚集,形成“公共场所”。而且随着笔记本电脑的普及和Intemet接入需求的增长,无论是教师还是学生都迫切要求在这些场所上网并进行网上教学互动活动。移动性与频繁交替性,使有线网络无法灵活满足他们对网络的需求,造成网络互联和Intemet接入瓶颈。
将无线网络的技术引入校园网,在某些场所,如网络教室,会议室,报告厅、图书馆等区域,可以率先覆盖无线网络,让用户能真正做到无线漫游,给工作和生活带来巨大的便利。随后,慢慢把无线的覆盖范围扩大,最后做到全校无线的覆盖。
2校园网无线网络安全现状
在无线网络技术成熟的今天,无线网络解决方案能够很好满足校园网的种种特殊的要求,并且拥有传统网络所不能比拟的易扩容性和自由移动性,它已经逐渐成为一种潮流,成为众多校园网解决方案的重要选择之一。随着校园网无线网络的建成,在学校的教室、办公室、会议室、甚至是校园草坪上,都有不少的教师和学生手持笔记本电脑通过无线上网,这都源于无线局域网拓展了现有的有线网络的覆盖范围,使随时随地的网络接入成为可能。但在使用无线网络的同时,无线接入的安全性也面临的严峻的考验。目前无线网络提供的比较常用的安全机制有如下三种:①基于MAC地址的认证。基于MAC地址的认证就是MAC地址过滤,每一个无线接入点可以使用MAC地址列表来限制网络中的用户访问。实施MAC地址访问控制后,如果MAC列表中包含某个用户的MAC地址,则这个用户可以访问网络,否则如果列表中不包含某个用户的MAC地址,则该用户不能访问网络。②共享密钥认证。共享密钥认证方法要求在无线设备和接入点上都使用有线对等保密算法。如果用户有正确的共享密钥,那么就授予该用户对无线网络的访问权。③802.1x认证。802.1x协议称为基于端口的访问控制协议,它是个二层协议,需要通过802.1x客户端软件发起请求,通过认证后打开逻辑端口,然后发起DHCP请求获得IP以及获得对网络的访问。
可以说,校园网的不少无线接入点都没有很好地考虑无线接入的安全问题,就连最基本的安全,如基于MAC地址的认证或共享密钥认证也没有设置,更不用说像802.1x这样相对来说比较难设置的认证方法了。如果我们提着笔记本电脑在某个校园内走动,会搜索到很多无线接入点,这些接入点几乎没有任何的安全防范措施,可以非常方便地接入。试想,如果让不明身份的人进入无线网络,进而进入校园网,就会对我们的校园网络构成威胁。
3校园网无线网络安全解决方案
校园网内无线网络建成后,怎样才能有效地保障无线网络的安全?前面提到的基于MAC地址的认证存在两个问题,一是数据管理的问题,要维护MAC数据库,二是MAC可嗅探,也可修改;如果采用共享密钥认证,攻击者可以轻易地搞到共享认证密钥;802.1x定义了三种身份:申请者(用户无线终端)、认证者(AP)和认证服务器。整个认证的过程发生在申请者与认证服务器之间,认证者只起到了桥接的作用。申请者向认证服务器表明自己的身份,然后认证服务器对申请者进行认证,认证通过后将通信所需要的密钥加密再发给申请者。申请者用这个密钥就可以与AP进行通信。
虽然802.1x仍旧存在一定的缺陷,但较共享密钥认证方式已经有了很大的改善,IEEE802.11i和WAPI都参考了802.1x的机制。802.1x选用EAP来提供请求方和认证服务器两者之间的认证服务。最常用的EAP认证方法有EAP-MD5、EAP-TLS和PEAP等。Microsoft为多种使用802.1x的身份验证协议提供了本地支持。在大多数情况下,选择无线客户端身份验证的依据是基于密码凭据验证,或基于证书验证。建议在执行基于证书的客户端身份验证时使用EAP-TLS;在执行基于密码的客户端身份验证时使用EAP-Microsoft质询握手身份验证协议版本2(MSCHAPv2),该协议在PEAP(ProtectedExtensibleAuthenticationProtoco1)协议中,也称作PEAP-EAP-MSCHAPv2。
考虑到校园群体的特殊性,为了保障校园无线网络的安全,可对不同的群体采取不同的认证方法。在校园网内,主要分成两类不同的用户,一类是校内用户,一类是来访用户。校内用户主要是学校的师生。由于工作和学习的需要,他们要求能够随时接入无线网络,访问校园网内资源以及访问Internet。这些用户的数据,如工资、科研成果、研究资料和论文等的安全性要求比较高。对于此类用户,可使用802.1x认证方式对用户进行认证。来访用户主要是来校参观、培训或进行学术交流的一些用户。这类用户对网络安全的需求不是特别高,对他们来说最重要的就是能够非常方便而且快速地接入Intemet,以浏览相关网站和收发邮件等。针对这类用户,可采用DHCP+强制Portal认证的方式接入校园无线网络。
如图所示,开机后,来访用户先通过DHCP服务器获得IP地址。当来访用户打开浏览器访问Intemet网站时,强制Porta控制单元首先将用户访问的Intemet定向到Portal服务器中定制的网站,用户只能访问该网站中提供的服务,无法访问校园网内部的其他受限资源,比如学校公共数据库、图书馆期刊全文数据库等。如果要访问校园网以外的资源,必须通过强制Portal认证.认证通过就可以访问Intemet。对于校内用户,先由无线用户终端发起认证请求,没通过认证之前,不能访问任何地方,并且不能获得IP地址。可通过数字证书(需要设立证书服务器)实现双向认证,既可以防止非法用户使用网络,也可以防止用户连入非法AP。双向认证通过后,无线用户终端从DHCP服务器获得IP地址。无线用户终端获得IP地址后,就可以利用双方约定的密钥,运用所协商的加密算法进行通信,并且可以重新生成新的密钥,这样就很好地保证了数据的安全传输。
使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决校园网无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用Web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。虽然用户名和密码可以通过SSL加密,但传输的数据没有任何加密,任何人都可以监听。当然,必须通过相应的权限来限制和隔离此类用户,确保来访用户无法访问校园网内部资料,从而保证校园网络的高安全性。校内用户所关心的主要是其信息的安全,安全性要求比较高。802.1x认证方式安装设置比较麻烦,设置步骤也比较多,且要有专门的802.1x客户端,但拥有极好的安全性,因此针对校内用户可使用802.1x认证方式,以保障传输数据的安全。
4结束语
校园网各区域分别覆盖无线局域网络以后,用户只需简单的设置就可以连接到校园网,从而实现上网功能。特别是随着迅驰技术的发展,将进一步促进校园网内无线网络的建设。现在,不少高校都已经实现了整个校园的无线覆盖。但在建设无线网络的同时,由于对无线网络的安全不够重视,对校园网无线网络的安全考虑不够。在这点上,学校信息化办公室和网管中心应该牵头,做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性。
参考文献:
【论文摘要】:越来越多高校采用无线校园网络这一先进网络技术,其安全性问题是普遍高校比较关注的,着重对无线校园网络的安全性问题进行探索和研究。
随着无线技术的不断成熟和普及,无线网络在全球范围内的应用已经成为一种趋势。在我国,越来越多的学校开始在校园构建和铺设无线网络。无线校园网络的快速发展与应用,对学校的教学模式、教学理念及教学管理产生了深远的影响,也使学校教师、学生的学习、生活方式产生了积极的变化。根据教育部的调查显示,目前我国15.1%的高校建有无线校园网,同时有36.2%的高校计划建设无线校园网。针对突飞猛进的无线校园组网计划,有专家表示,无线校园是未来校园信息化的发展方向。
一、何谓无线局域网
无线局域网(WirelessLocalAreaNetwork,缩写为“WLAN”)是高速发展的现代无线通信技术在计算机网络中的应用,是计算机网络与无线通信技术相结合的产物。不像传统以太网那样,基于802.1标准的无线网络在空气中传播射频信号,在信号范围内的无线客户端都可以接受到数据,为通信的移动化、个人化和多媒体应用提供了实现的手段。
二、传统有线网络面临的问题
随着校园网络规模不断扩大,网络应用不断增加,网络已经成为老师和学生获得信息的主要手段之一,校园网络的规模从以前的几百用户迅速扩充到几千用户甚至几万用户,越来越多的校园网络应用开始部署,网络变得前所未有的重要,细心观察不难发现传统有线网络容易出现以下问题:
(1)校内公共网络设施有限,而且使用频繁,人们为了上网不得不在这些地点之间奔波;
(2)计算机设备较多,其中,笔记本数目也在逐步增加。在这种情况下,全部用有线网连接终端设施,从布线到使用都会极不方便;
(3)有的教室主体结构是大开间布局,地面和墙壁已经施工完毕,若进行网络应用改造,埋设缆线工作量巨大,而且学生上课时的位置不是很固定,导致信息点的放置也不能确定,这样,构建一个有线局域网络就会面对各种不便;
(4)高校通常会有几个在地理分布上并不集中的分校区,用有线光缆连接校园网工程复杂、成本极高。而使用无线网络,无论是在教学楼、办公楼、学生宿舍或者其他校区都可以实现全方位的无线上网。这是无线网络在校园中的发展趋势。
三、无线网络的特点与优势
1、移动性强。无线网络摆脱了有线网络的束缚,能够使学习远离教室,可以在网络覆盖的范围内的任何位置上网。无线网络完全支持自由移动,持续连接,实现移动办公。
2、带宽很宽,适合进行大量双向和多向多媒体信息传输。
在速度方面,802.11b的传输速度可提供可达11Mbps数据速率,而标准802.11g无线网速提升五倍,其数据传输率将达到54Mbps,充分满足校园网用户对网速的要求.
3、有较高的安全性和较强的灵活性
由于采用直接序列扩频、跳频、跳时等一系列无线扩展频谱技术,使得其高度安全可靠;无线网络组网灵活、增加和减少移动主机相当容易。
4、维护成本低,无线网络尽管在搭建时投入成本高些,但后期维护方便,维护成本比有线网络低50%左右。
四、无线网络存在的安全问题
在无线网络的实际使用中,有可能遇到的威胁主要包括以下几个方面
1、信息重放
在没有足够的安全防范措施的情况下,是很容易受到利用非法AP进行的中间人欺骗攻击。对于这种攻击行为,即使采用了VPN等保护措施也难以避免。中间人攻击则对授权客户端和AP进行双重欺骗,进而对信息进行窃取和篡改。
2、WEP破解
现在互联网上已经很普遍的存在着一些非法程序,能够捕捉位于AP信号覆盖区域内的数据包,收集到足够的WEP弱密钥加密的包,并进行分析以恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量,最快可以在两个小时内攻破WEP密钥。
3、网络窃听
一般说来,大多数网络通信都是以明文(非加密)格式出现的,这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解(读取)通信。由于入侵者无需将窃听或分析设备物理地接入被窃听的网络,所以,这种威胁已经成为无线局域网面临的最大问题之一。
4、MAC地址欺骗
通过网络窃听工具获取数据,从而进一步获得AP允许通信的静态地址池,这样不法之徒就能利用MAC地址伪装等手段合理接入网络。
5、拒绝服务
攻击者可能对AP进行泛洪攻击,使AP拒绝服务,这是一种后果最为严重的攻击方式。此外,对移动模式内的某个节点进行攻击,让它不停地提供服务或进行数据包转发,使其能源耗尽而不能继续工作,通常也称为能源消耗攻击。
五、无线网络的安全防范措施
为了保护无线网路免于攻击入侵的威胁,用户主要应该在提高使用的安全性、达成通信数据的保密性、完整性、使用者验证及授权等方面予以改善,实现最基本的安全目的。
1、规划天线的放置,掌控信号覆盖范围。要部署封闭的无线访问点,第一步就是合理放置访问点的天线,以便能够限制信号在覆盖区以外的传输距离。最好将天线放在需要覆盖的区域的中心,尽量减少信号泄露到墙外。部署了无线网络之后,应该用可移动的无线设备彻底的勘测信号覆盖情况,并反映在学校的网络拓扑图里。
2、使用WEP,启用无线设备的安全能力。
保护无线网络安全的最基础手段是加密,通过简单的设置AP和无线网卡等设备,就可以启用WEP加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准方法。虽然WEP加密本身存在一些漏洞并且比较脆弱,但是仍然可以给非法访问设置不小的障碍,有助于阻挠偶尔闯入的黑客。许多无线访问点厂商为了方便安装产品,交付设备时关闭了WEP功能。但一旦采用这种做法,黑客就能立即访问无线网络上的流量,因为利用无线嗅探器就可以直接读取数据。建议经常对WEP密钥进行更换,在有条件的情况下启用独立的认证服务为WEP自动分配密钥。另外一个必须注意的问题就是用于标识每个无线网络的SSID,在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。现在的AP大部分都支持屏蔽SSID广播,除非有特殊理由,否则应该禁用SSID广播,这样可以减少无线网络被发现的可能。
3、变更SSID及禁止SSID广播。服务集标识符(SSID)是无线访问点使用的识别字符串,客户端利用它就能建立连接。该标识符由设备制造商设定,每种标识符使用默认短语,如101就是3Com设备的标识符。倘若黑客知道了这种口令短语,即使未经授权,也很容易使用无线服务。对于部署的每个无线访问点而言,要选择独一无二并且很难猜中的SSID。如果可能的话,禁止通过天线向外广播该标识符。这样网络仍可使用,但不会出现在可用网络列表上。
4、禁用DHCP。对无线网络而言,这很有意义。如果采取这项措施,黑客不得不破译用户的IP地址、子网掩码及其它所需的TCP/IP参数。无论黑客怎样利用公司的访问点,他仍需要弄清楚IP地址。
5、禁用或改动SNMP设置。如果公司的访问点支持SNMP,要么禁用,要么改变公开及专用的共用字符串。如果不采取这项措施,黑客就能利用SNMP获得有关公司网络的重要信息。
6、使用访问列表。为了进一步保护无线网络,应使用访问列表,如果可能的话。不是所有的无线访问点都支持这项特性,但如果公司实施的网络支持,就可以具体地指定允许哪些机器连接到访问点。支持这项特性的访问点有时会使用普通文件传输协议(TFTP),定期下载更新的列表,以避免管理员必须在每台设备上使这些列表保持同步的棘手问题。
参考文献:
[1]张锦.无线局域网IEEE802.11.现代图书情报技术
[2]张俊平.无线网络在校园建设网络中的应用.学术研究
【 关键词 】 TCP;移动设备;优化
1 引言
近年来,我国大力发展网络事业,网络已经成为人们学习、工作、生活中不可缺少的一部分。随着无线网络技术的推广和发展,人们的上网方式已经不再仅仅局限在固定的场所,通过移动设备访问互联网已经成为人们当前上网的主要方式,但由于无线网络中的系统切换、信号抖动、随机错误等原因而产生的丢包使得移动设备中使用TCP协议受到限制,对TCP协议进行优化,以适应移动设备的需求具有非常大的实用价值。
2 TCP协议
2.1 TCP概述
TCP(传输控制协议)是在不可靠的网络上实现端到端的字节流通信,提供可靠的网络服务的协议。利用TCP协议进行通信时,首先发送方向接收方发送一个TCP连接请求,以确保两端建立全双工的双向传输通道。TCP协议的数据单元是Segment(报文段),报文段的大小不能超过65535字节,另外报文段不能超过最大的传送单元MTU,假如报文段超过MTU,那边报文段将被分割成两个或以上。在TCP协议进行通信以前,通信的双方要进行协商确定最大的通信报文段的值。当发送方发送出报文段后,网络是不确定的,为了保证报文段的安全,设计一个计时器,当报文段到达接收方后,接收方向发送方回复一个确认报文段,该确认报文段包含希望接收下一个报文段的序列号,由此发送方收到确认报文段后,即知道接收方已经收到发送的报文段。根据定时器的计时,假如在设定的时间内没有收到接收方回执的确认,则表明接收方没有收到报文段,则重新发送该报文段。
由TCP协议的通信可知,TCP协议通过确认和超时机制两种手段来保证传输的安全可靠性。但是,网络是一个非常复杂的系统工程,在数据的通信过程中不可避免地会出现断开或阻塞的现象,另外由于报文段经过不同的路由器,超时之后可能报文段也会到达接收方。由此可见,仅仅通过超时机制和确认不能保证TCP协议的安全。
2.2 TCP Reno
1990年,对TCP协议增加快速恢复算法(快速重传算法、快速恢复算法、加速增加和下降算法等)形成TCP Reno,经过20多年的发展,已经成为当前最常见的TCP协议。
(1)快速重传算法。在TCP的接收方,当收到报文后就给发送方发送一个确认。假如接收方收到的报文不是所需要的报文,就会给发送方发出一个重复的确认报文,当发送方收到三个及以上重复确认报文,就对丢失的报文进行重发。
(2)快速恢复算法。当对丢失的报文重发之后,可以通过增加拥塞窗口的大小、自动对重复确认报文接收数加1、发送报文的大小与接收窗口相适应等方法来提高接收的成功率。
3 移动设备上的TCP协议
3.1 移动设备
当前,随着集成电路和嵌入式技术的飞速发展,移动设备的功能越来越强大,而体积越来越小,特别是移动设备与无线网络相结合后,在各行业中应用越来越广泛。对移动设备的定义,并没有一个专业的描述,总结起来,移动设备主要具有无线性、移动性和携带方便等特点。另外,由于移动设备采用通为固定的硬件设备,使之具有CPU速度慢、内存小、功耗受限和有限的输入输出功能等缺点。
3.2 TCP协议与无线网络
无线网络根据覆盖区域的大小可以划分为无线广域网和无线局域网。在无线广域网主要采用GPRS和CDPD技术;在无线局域网中主要采用蓝牙技术和IEEE802.11。无论采用哪种技术,在无线网络中传输数据都具有较高的链路错误率、较低的带宽及较长的时延。
在无线网络中采用TCP协议,由于无线网络的特性,使得TCP协议的性能明显下降。首先,在无线网络上建立无线链路时,TCP协议的报文丢失率较高,特别是对于非拥塞性的丢包现象,TCP协议的错误检测无法做出正确的判断。在快速重发和恢复算法中,当发送方收到3个及以上重复确认报文时,就对报文重发,而从应用层的角度来看,无线网络中的TCP协议使得连接的延迟增加,进而加大了宽带的使用,整个网络连接的性能下降,发送方重新发送的报文可能由于连接线路而再次丢失,这使得TCP协议在无线网络中的使用更加困难。
对于上述的情况,在上个世纪末期,对TCP协议进行了初步的优化,首先对于非拥塞丢包进行屏蔽;另外在不破坏TCP语议的前提下,针对连接的节点双方进行改进优化,根据实际情况进行针对性的错误恢复。
4 TCP协议优化
4.1 TCP结构
为了保证TCP在移动设备中安全、准确使用,首先对TCP的数据结构进行描述分析,其主要包含的字段有连接状态、定时器、重传计数器、最大报文段大小、收到确认报文个数、对应的IP控制块、初始发送窗口大小、已经发送但未收到的报文、待发数据、接收窗口、发送计时等。
当接收和发送数据时,TCP的数据结构主要包含源端口、目的端口、确认号、窗口大小、序号、检验和、标志位等信息。
(1)接收数据。首先对接收到的数据进行检验和检查,假如出错,直接返回错误给发送方;校验和正确,则TCP数据存入相关的缓冲中,利用相关的接收函数完成接收,并将正确接收的结果返回给发送方。
(2)发送数据。由窗口和系统决定发送数据的长度,正常情况下,待发数据的大小是TCP的最大报文段大小、待发数据超过窗口的一半、窗口中无已经发送但没有收到确认的数据信息;特殊情况下的发送有立即发送确认、发FIN包、发送紧急数据等。对于发送适当调整窗口值,对定时器进行重传。
4.2 优化改进算法
4.2.1 避免拥塞改进算法
TCP协议收到超过3个重复确认报文,就立即发送报文,有时不仅仅无法使报文发送到接收方,相反使得原有的通信线路更加拥塞。因此,设计一个拥塞计时器,在第一次收到超过3个重复确认报文后立即进行发送,随着收到重复确认报文的增加,TCP协议不再立即发送未收到的报文,而是在拥塞计时器的规定时间范围内,随机进行发送。当重复确认报文收到的越多,其拥塞计时器的数值越大,即发送的间隔时间越长,从而避免了由于过多地发送同一报文而加重了线路的拥塞。
4.2.2错误恢复改进算法
对于TCP的错误恢复,首先要对丢包进行判断分析丢包是拥塞丢包还是非拥塞丢包,可以通过判断网络状态进行分析。对TCP收到的第一个确认报文的时间进行判断,假如该时间与发送时间差小于规定的时间,则表明假如该报文丢失的情况是由非拥塞丢包引起的,则直接进入错误恢复阶段。
5 结束语
本文针对移动设备中的TCP协议进行研究,随着网络的发展,移动设备已经成为人们日常工作学习中不可缺少的一部分,如何提高移动设备的安全性和可靠性是当前IT业内关注的重点。
参考文献
[1] Douglas E. Comer 著,林瑶,蒋慧等译,谢希仁审校,《用 TCP/IP 进行网际互联 第一卷:原理、协议与结构》第四版,电子工业出版社.
[2] M. Allman, V. Paxson, On Estimating End-to-End Network Path Properties, In Proceedings of ACM SIGCOMM 99,1999.
【关键词】 TD网络建设 分布系统建设 分析
现在关与TD无线网络建设的论文和专著很多,但大部分都是侧重于TD无线网络规划进行分析。本文结合工程实际对TD无线网优平台的一些关键技术的实现进行探讨,由于国内尚未明确TD所采用的频段,故本文将不讨论频率规划,只从OFDM技术、多天线技术、规划站点选取、分布系统建设等,为TD无线网络建设提供有力支持。
一、TD无线网优平台中关键技术研究
针对TD系统的关键技术主要有以下几方面;
1.1 TD无线网优平台的OFDM技术
OFDM技术主要就是采用基于正交频分复的频分多址技术,这种技术与以往的技术不同的就是OFDM技术中的各载波通过彼此叠加和正交而避免干扰,这样不但可以提高宽带资源的使用,同时也可以将频率利用效率得到相应的提高。OFDM技术的关键技术就是在于其调制和解调,主要就是通过对离散傅里叶变化DFT实现,让调制变得简单化,不断循环前缀CP,也是OFDM技术的一个关键技术。OFDM技术,是TD无线网络规划关键技术中的多址技术,有着高效的频谱利用率、简便的接收机、强化的带宽扩展性;易于帮助实现MIMO系统,可以让其与同连接路自适应技术相结合的优点,但是由于这项技术的峰均功率比较高,也就降低了射频功率的效益,进而导致了发射机射频模块在资金投入和耗电方面有所增加。基于OFDM技术的上下行多址方式,能够通过提高投入资金和较为复杂的技术的方式,帮助TD系统获得更高的数据频率,且通过SC-FDMA的使用,解决了OFDM眼中的高PAPR问题。
1.2 TD无线网优平台的多天线技术
TD无线网优平台的多天线技术,也称为MIMO技术。主要是在发送端与接收端,通过设置多条天线的形式,来完成信号复杂的接收和发送任务,从而增加系统容量,系统容量的提升能够加快信息传输速率,借助信息冗余度的增加,还能提高其可靠性和安全性。这种技术模式,关键在于能够提高对空间复用的频谱利用,同时通过该技术对系统传输可靠性的保障作用,将接收机的灵敏度降低到一定程度,能够有效地提高系统容量和小区覆盖半径。
1.3 TD无线网优平台的物理层技术
首先就是TD无线网优平台的结构,在TDD双工模式下TD系统的结构,其主要功能是为在同一工作频率的上下行提供占用资源的时间和位置信息。对其TD无线网优平台的物理层资源块,主要包括资源单元(RE)、资源块(RB)、资源单元组(REG)、控制信道单元(CCE)等四类资源块,且具有OFDM技术的多址特点;物理层信道主要包括上行和下行信道,用于承载来自高层信息的资源单元。
二、TD无线网优平台中关键技术的实现
2.1 TD无线网优平台中关键技术的需求
TD网络建设要以市场业务需求为导向,将网络建设到用户真正需求的地方,中国移动建设TD无线网络平台,最大的可能是采用D频段或者F频段,而TD无线网络覆盖范围与频段的选择是密切相关的。一般情况下, D频段覆盖室外热点区域,F频段进行室外全覆盖,选择TD无线网络覆盖范围时不应仅仅考虑网格测试区、主城区、城区等范围,建议对影响因素进行综合考虑。首先对网络覆盖应该重点考虑数据区域和网络测试区,在规划TD无线网络覆盖区域时应尽量连续,特别是规划D频段时,不能因为D频段是覆盖热点区域,而被划分成一个个的小区域,如果规划覆盖范围过小,会造成后期网络测试及TD无线网络业务推广均会出现很大的问题。
2.2 TD无线网优平台宏站规模
通常根据覆盖预测来进行TD宏蜂窝站点数量的确定。根据理论计算,在达到同等覆盖质量的前提下,如果使用F频段可比使用D频段节省46%的建站资源。在进行TD规划时,D频段站点可略多于覆盖预测的站点。但由于TD频段规划站点多于现网TD-SCDMA站点数,受限于选点难度,新选站点不宜太多。但在进行F频段的TD无线网络规划时,相对于覆盖预测,建议加大F频段的站点数量。因为在TD无线网络采用F频段时,站点数少与同覆盖区的TD-SCDMA站点数,站点可选择的余地较大,而且TD无线网络采用F频段的目的是进行连续覆盖,为了保证TD的网络质量,宜加大F频段的站点数量。
2.3 TD无线网优平台分布系统选择
因为TD无线网络的频段较高,对于规划区内的TD-SCDMA物业点均建议建设TD无线系统,TD无线网络室内分布系统建设方式包括单路建设方式和双路建设方式两种。双路分布系统相对于单路分布系统具有1.5~1.8倍的容量增益,对于提升小区吞吐量和用户峰值速率体验具有明显的性能优势,故在数据流量较大的区域,网络应建设双路分布系统。但实际规划设计中很难按此考虑,双路分布系统由于需要双路馈线和双倍天线,建设难度很大,特别对已建单路分布系统的物业点,再建设一路分布系统协调难度很大。对某地市的现网情况进行调研后发现,现网有双路分布系统的物业点不到1%,主要原因就是因为协调困难。而且从投资效益上说,双路分布系统投资接近翻倍,但是很多物业点并没有建设双路分布系统的必要。现网很多分布系统是为了解决TD-SCDMA网络的覆盖需求而建设的,并没有很高的用户数及数据流量,在这些物业点建设双路分布系统会造成投资浪费。
三、TD无线网优平台关的规划
TD无线网络规划主要步骤包括网络规模估算、网络规划需求分析、覆盖容量仿真、站址选择和无线参数规划等几个流程。在规划TD无线网络上,可以通过以下几方面进行。
3.1 TD网络频率规划
为了解决小区间的干扰,在TD无线网络频率规划阶段,应该提高对频段的分配和复用。通过同频组网或异频组网的方式进行。
3.2 TD网络覆盖规划
TD无线网络覆盖规划,具有覆盖对象多样化,编码调制方式多样化,以及帧结构支持覆盖极限功能的进一步提高等特点。通过采用由覆盖目标计算覆盖半径和由覆盖区域半径计算覆盖速率等两种方法,进行网络覆盖规划。
3.3 TD网络链路预算
在规划的仿真前期,需要采用链路预算的方式,估计系统覆盖的性能。在这个阶段,需要事先制定一个相对明确、详细的计划,包括技术及时间等方面,利用制定的预算可以确定TD网络建设的大体规模,以及主要需求、重要参数以及所需要补充的设备等等。
3.4 TD网络容量规划
TD无线网络容量规划,主要是采用系统仿真、实际测量统计数据的方法,获取小区吞吐量、小区边缘吞吐量信息,便于站址的选择。
3.5 TD网络规划仿真
具有多天线增益配置、承载参数配置和ICIC干扰消除功能,以及无线资源调度等特点。这一阶段中,需要借助于专用的TD仿真工具来对既定的规划方案进行相应测试,重点注意对其容量以及覆盖范围进行仿真分析。具体的讲就是要做好导入规划数据、规划邻区、传播预测、时隙以及频率规划、蒙特卡罗仿真、业务模型配置等内容。